Vecchio di quasi 30 anni, il phishing è un fenomeno ancora attuale che si è evoluto nel tempo e che oggi continua a “mietere vittime”
E nel 74% delle truffe messe a segno la falla del sistema è causata dall’errore umano[1]
Roma 24 maggio 2024 – Come ogni fenomeno, anche il phishing si è evoluto nel corso degli anni. A distanza di quasi 30 dal primo caso, le truffe informatiche non si sono ridotte, anzi si sono evolute grazie allo sviluppo di tecnologia e AI portando a perdite economiche per organizzazioni pubbliche e private, talvolta ingenti. Per aiutare gli utenti a riconoscerle, Cyber Guru, piattaforma di Security Awareness Training, fa il punto su quelle più diffuse nel Paese.
Phishing, una truffa basata sull’errore umano
Il phishing fa leva sull’errore umano che, secondo il Data Breach Investigations Report 2023 di Verizon, è il fattore preponderante nel 74% dei casi di breach.
“Il primo phishing” risalirebbe al 1996, quando alcune persone, non volendo pagare per la navigazione Internet, resa possibile dal primo Internet Service Provider degli Stati Uniti, America on Line, cambiarono la propria intestazione mail spacciandosi per amministratori della società. Centinaia furono all’epoca le vittime della campagna mirata ad ottenere nome utente e password per poter accedere gratuitamente ad internet.
Non passò molto tempo che, all’inizio degli anni 2000, i criminali iniziarono a studiare tutte quelle occorrenze in cui più facilmente era possibile sottrarre piccole somme di denaro sfruttando i cosiddetti bias cognitivi, nonché la tendenza delle persone a condividere spontaneamente contenuti, link, ignari della loro pericolosità. Con la digitalizzazione dei servizi hanno preso piede le trappole basate su false promozioni o sconti tramite mail e SMS poi, in tempi più recenti, su pretestuosi blocchi di spedizioni o di account bancari. L’obiettivo è sempre lo stesso: indurre gli utenti a cliccare su link malevoli o fornire dati e informazioni riservate. Anche losviluppo dei social ha portato con sé diversi lati negativi inclusi raggiri per derubare le persone: pensiamo ad esempio ai love scam, in cui la vittima è indotta a credere di avere una relazione romantica o un flirt con una persona inesistente che chiede denaro perché in una situazione di difficoltà, ne sono un esempio la “truffa del militare” o “dell’astronauta”; oppure gli annunci in DM di give-away o di ambassadorship che offrono piccoli compensi e visibilità in cambio del pagamento di un articolo da provare ad un prezzo ridotto, o della spedizione per riceverlo. Molte pratiche fraudolente sono ormai note ai più, ma riescono a fare ancora molte vittime. A questo si aggiunge anche l’affinamento delle capacità e la creatività dei criminali e dall’altra l’evoluzione dell’intelligenza artificiale.
L’evoluzione del cybercrime: le aziende come obiettivi delle truffe
Con il passare del tempo è venuto a crearsi un vero e proprio mercato sommerso, con tanto di organizzazioni che progettano attacchi di ampia portata ai danni di individui, e sempre più spesso, delle aziende.
Per guadagnare sempre di più, hacker e cyber criminali fanno spesso ricorso all’ingegneria sociale, un insieme tecniche a metà tra psicologia e ingegneria per carpire informazioni personali e dati confidenziali. Come sempre, l’obiettivo principale è ottenere la fiducia degli utenti, per indurli ad abbassare la guardia e ad agire in modo poco sicuro.
Un inganno attualmente molto diffuso, conosciuto come la “truffa del CEO”, vede i criminali impersonare figure apicali per richiedere ai colleghi preposti di effettuare urgentemente operazioni finanziarie improrogabili. Per avvalorare il raggiro, negli ultimi tempi si sta facendo sempre più uso dell’IA per generare immagini e video-call estremamente credibili, che inducono la vittima a cadere nella trappola senza esitare.
Molto utili, a fini malevoli, anche i programmi di AI capaci di riutilizzare le tracce sonore dei video caricati sui social network per l’elaborazione di ’messaggi vocali, con le parole scelte dal truffatore, in grado di ingannare perfino un genitore. Riconoscere i veri timbri vocali è difficilissimo, mentre è molto semplice ingannare qualcuno con una finta chiamata in cui si chiede il versamento di denaro, spacciandosi per un parente in difficoltà economiche.
Sempre sui social, negli ultimi tempi si sta assistendo alla diffusione di video di personaggi noti del mondo dell’industria, della politica e dello spettacolo che promuovono servizi di investimento finanziario veramente profittevoli: niente di più falso, ma verosimile grazie ai deepfake generati dall’AI. Tra più gettonati, Elon Musk, Tom Hanks, Taylor Swift, Pier Silvio e Marina Berlusconi e ancora Fabio Fazio e Francesco Totti. Insomma, testimonial famosi, e inconsapevoli, per rubare ai piccoli investitori.
“È importante che le persone siano coscienti che sul web è proprio l’errore umano che spalanca le porte ai criminali. Quando si parla di truffe online la percezione del pericolo si riduce perché siamo sempre connessi e tutto è alla portata di un click, a questo si aggiunge lo sfruttamento di alcuni bias cognitivi che vengono sfruttati per farci cadere nella trappola. Il fatto che le Istituzioni europee stiano promuovendo delle leggi in questo senso ci dà la misura di come non possiamo sottovalutare il nostro rapporto con la tecnologia e i pericoli – oltre che le opportunità – che nasconde. Per questo come Cyber Guru offriamo una soluzione per difendere sé stessi come individui e come parte di un’organizzazione” spiega Maurizio Zacchi, Academy Director di Cyber Guru.
[1] 2023 Data Breach Investigations Report, 2023, https://www.verizon.com/business/resources/Tdd8/reports/2023-data-breach-investigations-report-dbir.pdf